OWASP ASVS Project review

アプリケーションセキュリティ検査・検証の標準化 Applica(on Security Veriﬁca(on Standard Project 岡田良太郎 [email protected]
OWASP Japan Asterisk Research

hAps://commons.wikimedia.org/wiki/File:Veriﬁca(on_in_SE.jpg

ASVS Applica(on Security Veriﬁca(on Standard •  OWASP ASVS
アプリケーションセキュリティ検証標準プロジェクト –  “Webアプリケーションセキュリティ検査・検証を実施するときに用いるため、検査の対象範囲、厳密さのレベルを利用可能な範囲で整理し、標準化することです。” –  “ASVSは、アプリケーションに加え、環境面での技術的セキュリティコントロールをテストする基準も提供します。” owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project

OWASP Top 10 イントロダクション > 注意事項

OWASP Top 10には… +D 開発者向けの次のステップ > 反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用

ASVS Veriﬁca(on Level （v1.0/2009時代) Consider ASVS instead of OWASP
Top 10 •  Some issues when implemented in prac(ce. ASVS

ASVS Veriﬁca(on Level （v2.0)

Level 0: (セキュリティテスト・なし=あるある)

Level 1: Opportunis(c (簡単に見つかるレベル)

Level 2: Standard (標準的なレベル) ・”Detailed Veriﬁca(on Requirements” ・OWASP
Top 10をカバー・ビジネスロジックも検証

Level 3: Advanced (より進んだ脆弱性に対応)

それ以上: L3+ •  ASVS L3 + – アプリケーション・スコープを超えたオプション・テ
スト – サードパーティのモジュールへのテスト – ミッションクリティカルなシステムでは必要となることがある。

V2. Authen(ca(on Veriﬁca(on Requirements Level 1 V2.1 基本的な使い方 V2.2
パスワードEchoなし V2.6 安全にフェイルする Level 2 V2.12 認証のロギング V2.13 Salt、暗号化 Level 3 V2.5 認証制御の実装の（外部連携を含め）集中化実装 V数字.数字によるテスト項目のIden(fyもバージョン間で継承される

V8. Error Handling and Logging Level 1 V8.1
攻撃者を支援し兼ねないエラーメッセージ、スタックトレースを出力しない Level 2 V8.2 全エラーハンドリングがサーバー上で実装 V8.8 セキュリティログは認証されていないアクセスや改ざんから保護されていること Level 3 V8.9 ログを閲覧するソフトウェア上で、信頼できないデータを含むすべてのイベントが、コードとして実行されないこと V数字.数字によるテスト項目のIden(fyもバージョン間で継承される

“Detailed Veriﬁca(on Requirements” 13項目の検査要件詳細 •  V2. Authen(ca(on • 
V3. Session Management •  V4. Access Control •  V5. Malicious Input Handling •  V7. Cryptography at Rest •  V8. Error Handling and Logging •  V9. Data Protec(on •  V10. Communica(ons •  V11. HTTP •  V13. Malicious Controls •  V15. Business Logic •  V16. File and Resource •  V17. Mobile The numbering scheme has been kept consistent with the previous version of ASVS to help with individuals wishing to transi(on from one to the other. 大項目 V(数字) ASVSのバージョン間で同一。

Detailed Verifica(on Required V3.0 preview •  V1. Architecture,
design and threat modelling (v1.0(2009)のものを復活) •  V2. Authen(ca(on •  V3. Session management •  V4. Access control •  V5. Malicious input handling •  V7. Cryptography at rest •  V8. Error handling and logging •  V9. Data protec(on •  V10. Communica(ons •  V11. HTTP security configura(on •  V13. Malicious controls •  V15. Business logic •  V16. File and resources •  V17. Mobile •  V18. Web services (NEW for 3.0) •  V19. Configura(on (NEW for 3.0) •  V20. Client side Security (NEW for 3.0)

V18. Web services (NEW for 3.0)

V19. Conﬁgura(on (NEW for 3.0)

V20. Client side Security (NEW for 3.0)

Appendix A: システムの業界、脅威、用途などから、　　　　　　　システムの Level をSugges(on Level1: インターネットから
アクセスできるアプリケーション Level2: 少数あるいは限られた程度の個人の健康情報や個人識別情報、支払いデータなどの機微情報を扱うアプリケーション Level3: 医療機器、デバイス、人生にかかわる情報を扱うアプリケーション。支払い、POS、大量のトランザクションデータ。管理機能も対象となる。 INDUSTRY: 保険・金融製造、輸送、技術、道具、インフラ、防衛、ヘルスケア、不動産・食品など

企画　　要件定義　　設計　　　実装　　　検査　　デプロイ調達 ASVSに基づく検査手法をそろえる ASVS標準を使って要件を明確にするリスクレベルの認識
ASVSでマッピングセキュリティ要件を ASVSに照らして定義 L3なら設計レベル要件も検討選択したASVSレベルの準拠状況を検査開発 ※ 組織 OWASP ASVS ツール・サービス提供者

Usage “標準”の使い方 •  テストと結果報告に •  開発チームへ手渡すアプリケーションの認証 •  テスト担当チームへのガイドとして
•  顧客へのテストガイドラインとしてテスト手法の提供 •  外部テスターが要件を満たしているか •  契約者、協力会社が遵守すべきガイドとしてベンダー・サプライヤーの選択

ASVS and YOU まずは V2.0(2014)をゲット！ •  マネージャ（経営層）にアプローチ – 
リスクとアプリケーションセキュリティへの理解 •  自分のスタートレベルを決める –  L 1がおすすめ •  開発中のソフトウェアにあてはめてみる –  最初はめっちゃ大変。でもひとつずつ •  責任者を任命 –  開発チームの中でこの適用を検討するスタッフをアサインする •  やってみる

ASVS and YOU Security Principle を学ぶ •  それぞれの層で徹底的に防衛 Defense
in Depth. •  ポジティブセキュリティモデル Posi(ve Security Model •  安全に失敗しろ Fail Securely •  最小権限の原則 Least Privilege •  Avoid “Security by Obscurity” •  …を信じない Do not trust the … hAps://www.owasp.org/index.php/Category:Principle

ASVS and YOU •  V3.0 (July 2015) preview! – 
大量のDeprecated –  3つの新Veriﬁca(on Topic •  V18. Web services •  V19. Conﬁgura(on •  V20. Client side Security –  リファレンスも追加 •  Proac(ve Control •  Mobile Top 10 •  PCI DSS 3.0

OWASP Project -‐ Flagship •  Tools [Reviewed September 2014]
–  OWASP Zed AAack Proxy –  OWASP Web Tes(ng Environment Project –  OWASP OWTF –  OWASP Dependency Check •  Code [Reviewed November 2014] –  OWASP ModSecurity Core Rule Set Project –  OWASP CSRFGuard Project –  OWASP AppSensor Project •  Documenta(on[Reviewed February 2015] in progress –  OWASP Applica(on Security Veriﬁca(on Standard Project –  OWASP Sorware Assurance Maturity Model (SAMM) –  OWASP AppSensor Project –  OWASP Top Ten Project –  OWASP Tes(ng Guide Project

Thanks @okdt

OWASP ASVS Project review

OWASP ASVS Project review

OWASP Japan

More Decks by OWASP Japan

Other Decks in Technology

Featured

Transcript

アプリケーションセキュリティ検査・検証の標準化 Applica(on Security Veriﬁca(on Standard Project 岡田良太郎 [email protected]

hAps://commons.wikimedia.org/wiki/File:Veriﬁca(on_in_SE.jpg

ASVS Applica(on Security Veriﬁca(on Standard •  OWASP ASVS

OWASP Top 10 イントロダクション > 注意事項

OWASP Top 10には… +D 開発者向けの次のステップ > 反復可能なセキュリティプロセスと標準セキュリティ制御の確立と使用

ASVS Veriﬁca(on Level （v1.0/2009時代) Consider ASVS instead of OWASP

ASVS Veriﬁca(on Level （v2.0)

Level 0: (セキュリティテスト・なし=あるある)

Level 1: Opportunis(c (簡単に見つかるレベル)

Level 2: Standard (標準的なレベル) ・”Detailed Veriﬁca(on Requirements” ・OWASP

Level 3: Advanced (より進んだ脆弱性に対応)

それ以上: L3+ •  ASVS L3 + – アプリケーション・スコープを超えたオプション・テ

V2. Authen(ca(on Veriﬁca(on Requirements Level 1 V2.1 基本的な使い方 V2.2

V8. Error Handling and Logging Level 1 V8.1

“Detailed Veriﬁca(on Requirements” 13項目の検査要件詳細 •  V2. Authen(ca(on •

Detailed Veriﬁca(on Required V3.0 preview •  V1. Architecture,

V18. Web services (NEW for 3.0)

V19. Conﬁgura(on (NEW for 3.0)

V20. Client side Security (NEW for 3.0)

Appendix A: システムの業界、脅威、用途などから、　　　　　　　システムの Level をSugges(on Level1: インターネットから

企画　　要件定義　　設計　　　実装　　　検査　　デプロイ調達 ASVSに基づく検査手法をそろえる ASVS標準を使って要件を明確にするリスクレベルの認識

Usage “標準”の使い方 •  テストと結果報告に •  開発チームへ手渡すアプリケーションの認証 •  テスト担当チームへのガイドとして

ASVS and YOU まずは V2.0(2014)をゲット！ •  マネージャ（経営層）にアプローチ –

ASVS and YOU Security Principle を学ぶ •  それぞれの層で徹底的に防衛 Defense

ASVS and YOU •  V3.0 (July 2015) preview! –

OWASP Project -‐ Flagship •  Tools [Reviewed September 2014]

Thanks @okdt